网络安全
当前位置: 首页>> 网络安全>> 正文
关于Wiki.js跨站脚本漏洞(CVE-2021-43856)的预警提示
陆晔 发布日期:2022-01-21

一、漏洞详情

Wiki.js是一个基于Node.js的轻量级开源wiki软件。

Wiki.js项目发布安全公告,修复了Wiki.js中的2个XSS漏洞(CVE-2021-43856和CVE-2021-43855)。

Wiki.js XSS漏洞(CVE-2021-43856)

Wiki.js 2.5.264之前的版本容易受到通过非图像文件上传的存储型跨站脚本的攻击,这些文件类型可以在浏览器中直接内联查看。通过创建在浏览器中查看时可以执行内联JS的恶意文件(如XML文件),当其他用户查看该文件时将执行恶意JavaScript,但该文件必须由用户打开,不会在正常的Wiki.js页面直接触发。

Wiki.js XSS漏洞(CVE-2021-43855)

Wiki.js 2.5.264之前的版本容易受到通过使用伪造MIME类型的自定义请求上传SVG文件的存储型跨站脚本的攻击。其他用户直接查看SVG文件时将执行恶意JavaScript,当通过普通标签加载到页面内时,脚本不会执行。恶意的SVG文件只能通过使用伪造的MIME类型向服务器发送自定义请求来上传。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Wiki.js < 2.5.264

三、修复建议

目前这些漏洞已经修复,建议受影响用户及时升级更新至Wiki.js 2.5.264版本。

下载链接:https://github.com/Requarks/wiki

技术支持:信息化建设管理处

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85326800(26800),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn

Baidu
map